IAMConseils relatifs au centre d'identité - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMConseils relatifs au centre d'identité

Note

SSOest une abréviation utilisée dans le secteur des technologies pour désigner l'authentification unique. En termes généraux, SSO il s'agit d'un service d'authentification de session et d'utilisateur. Il permet à quelqu'un d'utiliser un seul ensemble d'identifiants de connexion pour accéder à de nombreuses applications. En ce qui concerne la fonctionnalité d'authentification unique dans AWS, nous faisons référence au AWS service appelé AWS Identity and Access Management, et abrégé en IAMIdentity IAMCenter.

AWSControl Tower vous recommande d'utiliser AWS Identity and Access Management (IAM) pour réguler l'accès à votre Comptes AWS. Cependant, vous avez la possibilité de choisir si AWS Control Tower configure IAM Identity Center pour vous, si vous configurez IAM Identity Center vous-même, de la manière qui répond le mieux aux besoins de votre entreprise, ou si vous souhaitez sélectionner une autre méthode d'accès au compte.

Par défaut, AWS Control Tower configure AWS IAMIdentity Center pour votre zone de landing zone, conformément aux meilleures pratiques définies dans Organizing your landing zone AWS environnement utilisant plusieurs comptes. La plupart des clients choisissent la valeur par défaut. D'autres méthodes d'accès sont parfois nécessaires, pour la conformité réglementaire dans des secteurs ou des pays spécifiques, ou dans Régions AWS où AWS IAMIdentity Center n'est pas disponible.

Choisir une option

Depuis la console, vous pouvez choisir de gérer vous-même IAM Identity Center pendant le processus de configuration de la zone d'atterrissage, plutôt que de laisser AWS Control Tower le configurer pour vous. Plus tard, vous pouvez choisir de modifier cette sélection en modifiant les paramètres de la zone d'atterrissage et en mettant à jour votre zone d'atterrissage sur la page des paramètres de la zone d'atterrissage.

Pour arrêter AWS IAMIdentity Center dans AWS Control Tower, ou pour commencer à utiliser AWS IAMCentre d'identité

  1. Accédez à la page des paramètres de la zone d'atterrissage

  2. Sélectionnez l'onglet Configurations

  3. Choisissez ensuite le bouton radio approprié pour modifier votre sélection pour AWS IAMCentre d'identité.

Une fois que vous avez choisi de vous autogérer AWS IAMIdentity Center En tant qu'IdP, AWS Control Tower crée uniquement les rôles et les politiques nécessaires à la gestion de AWS Control Tower, tels que AWSControlTowerAdmin et. AWSControlTowerAdminPolicy Pour les zones d'atterrissage qui s'autogèrent, AWS Control Tower ne crée plus de IAM rôles ni de groupements destinés à un usage spécifique du client, ni pendant le processus de configuration de la zone d'atterrissage, ni pendant le provisionnement du compte avec Account Factory.

Note

Si vous supprimez AWS IAMIdentity Center : depuis la zone de landing zone de votre AWS Control Tower, les utilisateurs, les groupes et les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés. Nous vous recommandons de supprimer ces ressources.

Les clients d'Account Factory ayant recours à d'autres fournisseurs d'identité (IdPs) tels qu'Azure AD, Ping ou Okta peuvent suivre le AWS IAMProcessus Identity Center permettant de se connecter à un fournisseur d'identité externe et d'intégrer son IdP. Vous pouvez demander à nouveau à AWS Control Tower de générer vos groupements et vos rôles à tout moment, en modifiant les paramètres de la zone d'atterrissage.